Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub springl@invea.cz, vrbka@invea.cz, holub@invea.cz
Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě Flow monitoring a Data retention 31.5.2013 FlowMon INVEA-TECH 2013 2/40
Monitorování sítě SNMP (monitoring) pouze na úrovni základních čítačů, chybí detailní informace Flow monitoring = monitorování datových toků detailní přehled o dění v síti Paketová analýza velmi detailní, ale časově velmi náročná 3/40
Flow monitoring Měření na základě IP toků Analyzují se hlavičky paketů, obsah paketů není monitorován ani uchováván (pomalu se mění) Moderní metoda monitorování sítí, Cisco standard Redukce dat cca 500:1 4/40
Flow monitoring Telefonní účet - výpis hovorů Počítačová síť - flow monitoring 5/40
Flow monitoring - standardy Cisco standard NetFlow v5 fixní formát pouze základní položky monitorovány není IPv6, VLAN NetFlow v9 (Flexible NetFlow) flexibilní formát používá šablony rozšiřitelný o řadu polí (včetně IPv6, VLAN a další) Nezávislý IETF standard IPFIX ( NetFlow v10 ) Trend stále používanější, ještě flexibilnější než NetFlow rozšiřování monitorovaných položek (aplikační informace) rozšiřování podpory u dalších zařízení 6/40
Flow monitoring - architektura Zdroje NetFlow/IPFIX dat přepínače, směrovače jako přidaná funkcionalita sondy dedikovaná zařízení firewally, UTM zařízení a další Kolektory centrální úložiště a analýza dat 7/40
Flow monitoring jak funguje? 8/40
Přínosy flow monitoringu Oči do síťového provozu a přehled o tom co se v síti a infrastruktuře děje drill-down až na úroveň jednotlivých komunikací, záznam o všem co se stalo 31.5.2013 FlowMon INVEA-TECH 2013 9/40
Přínosy flow monitoringu 10% uživatelů typicky vygeneruje 90% provozu kteří to jsou? Jak jsou využívány jednotlivé služby a proč byla včera síť tak pomalá? 31.5.2013 FlowMon INVEA-TECH 2013 10/40
Přínosy flow monitoringu Jaké jsou nejvytěžovanější servery v mé síti? Je to v souladu s naším interním řádem? Odpovídá seznam serverů v plánech realitě? Jaká zařízení komunikují v síti? Jak jsou aktivní v průběhu času, jaké využívají IP adresy? 31.5.2013 FlowMon INVEA-TECH 2013 11/40
Shrnutí přínosů flow monitoringu Detailní přehled o dění v síti (LAN i WAN) jak v reálném čase, tak kdykoliv v minulosti Přesné, rychlé a efektivní řešení problémů Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Snadné plánování kapacit a optimalizací sítě Dohled nad využitím Internetu, využitím aplikací Předcházení incidentům jako jsou zahlcení a výpadky sítě Odhalení špatných konfigurací 12/40
31.5.2013 Flow monitoring a bezpečnost sítě
NBA není National Basketball Association ale Network Behavior Analysis 31.5.2013 FlowMon INVEA-TECH 2013 14/40
NBA reálný příklad užití 15/40
Motivace pro NBA V současné situaci není otázkou jak vyloučit napadení sítě, ale jak toto napadení odhalit co nejdříve. 16/40
NBA - fungování Detekce nežádoucích vzorů chování Vnitřní i vnější útoky Nežádoucí služby a aplikace Provozní a konfigurační problémy Profily chování Dle přenosu dat, počtu spojení, počtu komunikačních partnerů,.. Detekce anomálií Neobvyklé komunikace Odchylky od standardního chování stanic i celé sítě 31.5.2013 FlowMon INVEA-TECH 2013 17/40
Neznámý malware 31.5.2013 FlowMon INVEA-TECH 2013 18/40
Neznámý malware 31.5.2013 FlowMon INVEA-TECH 2013 19/40
Útoky 31.5.2013 FlowMon INVEA-TECH 2013 20/40
Úniky dat 31.5.2013 FlowMon INVEA-TECH 2013 21/40
Obcházení politik a opatření TOR - klient pro různé OS Nevyžaduje zvláštní schopnosti Není možné detekovat analýzou obsahu Vhodné pro obcházení politik a omezení 31.5.2013 FlowMon INVEA-TECH 2013 22/40
Shrnutí APT (Advanced Persitent Threats) Zero-day útoky a polymorfní malware Postranní komunikační kanály Společné rysy Často šité na míru cílovému prostředí Neexistují signatury nebo nejsou dostupné včas Neviditelné pro běžné bezpečnostní nástroje 31.5.2013 FlowMon INVEA-TECH 2013 23/40
NBA bezpečnostní trend NBA doporučuje Gartner jako další bezpečnostní trend Cílem NBA je detekovat hrozby, které nelze detekovat ostatními technologiemi. 24/40
Nasazení NBA jako nadstavba nad technologií flow monitoringu Dostupná pro všechny organizace nad 50 PC v síti 25/40
31.5.2013 Flow monitoring a Data Retention
Data Retention 27/40
EU vyhláška EU - směrnice o uchovávání provozních údajů ČR - zákon o elektronických komunikacích a vyhláška č. 357/2012 ze 17. října 2012 ISP jsou povinni uchovávat 6 měsíců údaje o elektronické komunikaci Strukturovaný výpis ve formátu specifikovaném v příloze vyhlášky 28/40
Data Retention a Flow Monitoring? 29/40
Příklad 30/40
Příklad 31/40
Příklad 32/40
Příklad 33/40
Příklad 34/40
Příklad 35/40
Příklad 36/40
Nasazení 37/40
Nasazení Nově vyžadováno měření před/za NATem 38/40
Shrnutí Požadavek Data Retention na ISP daný směrnicí EU i zákonem ČR NetFlow pro splnění Data Retention 39/40
Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí INVEA-TECH a.s. info@invea.cz 511 205 250 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz 31.5.2013 FlowMon INVEA-TECH 2013 40/40